Risikobegrenzung

Eine Abkehr von der Cloud ist natürlich keine Option – zu groß sind die Vorteile. Unternehmen müssen deshalb Maßnahmen ergreifen, um die beschriebenen Risiken zu begrenzen.

Plattformübergreifende Discovery automatisieren: Wie beschrieben, ist die Inventarisierung der personenbezogenen Daten eine unverzichtbare Maßnahme, um die DSGVO-Compliance sicherzustellen. Automatisierte Discovery-Lösungen eignen sich nicht nur zur initialen Bestandsaufnahme, sondern auch zur fortlaufenden Pflege der Inventarliste. Zeitgemäße Tools berücksichtigen dabei auch die Cloud und erfassen zudem die sogenannte Schatten-IT, also IT-Ressourcen, die von den Fachabteilungen auf eigene Faust angeschafft wurden.

Transparenz über die Weiter­gabe von Daten an Drittanbieter gewinnen: Eine der großen He­rausforderungen der DSGVO ist, dass sie Firmen nicht nur für eigenes Fehlverhalten im Umgang mit personenbezogenen Daten haftbar macht, sondern auch für das von Drittanbietern, mit denen sie die Daten teilen. Oft geschieht die Weitergabe der Daten über SaaS-Lösungen, weshalb auch hier ein exakter Überblick entscheidend ist. Es muss stets klar sein, welche Drittanbieter personenbezogene Daten erhalten und wie diese verarbeitet werden.

Personenbezogene Daten lokalisieren und kategorisieren: Um DSGVO-konform zu arbeiten, sollten Unternehmen nicht nur wissen, wo personenbezogene Daten liegen, sondern auch, worum es sich jeweils handelt. Um etwa das „Recht auf Vergessenwerden“ umzusetzen, muss die zuständige Abteilung einen exakten Überblick da­rüber haben, welche Daten einem spezifischen Nutzer zuzuordnen sind und welche davon gelöscht werden müssen. Dabei gilt es, auch Cloud-Repositories mit einzubeziehen.

Zugriff auf personenbezogene Daten regulieren: Bei der Zugriffskontrolle haben Unternehmen mit On-Premise-Lösungen ebenfalls eher selten Probleme. Aber auch hier versagen die verbreiteten Tools, wenn es um die Cloud geht. Die Zugriffskontrollen auf Cloud-Ressourcen sind oftmals unzureichend, es gibt viele Account-Leichen von ehemaligen Mitarbeitern, und neuen Kollegen räumt die IT im Zweifelsfall lieber zu viele Rechte ein als zu wenig. Dieser Nachlässigkeit müssen Unternehmen unbedingt ein Ende bereiten, wenn sie eine vollständige DSGVO-Compliance erreichen wollen.

Cloud-Technologien im Allgemeinen und SaaS-Lösungen im Besonderen erschweren den Kampf um nachhaltige DSGVO-Compliance. Um ihn zu bestehen, müssen Unternehmen zu jedem Zeitpunkt sämtliche W-Fragen beantworten können: Wo liegen personenbezogene Daten? Um welche Informationen handelt es sich? Wer greift auf sie zu? Was passiert mit diesen Daten? Dieses Maß an Transparenz ist auf On-Premise-Systemen nicht unüblich, Cloud-Ressourcen sorgen aber noch immer für blinde Flecken im Monitoring. Die richtigen Technologien helfen dabei, die Transparenzlücke zu schließen.